Главная

Новости

Статьи и обзоры
  Горожанин
  Обнинск в Internet
  Web Design
  Hardware
  Software
  Безопасность
  Серфинг
  Игродром
  Relax
  Технологии
  Web-обзор
  Интернет-ликбез
  Опросник
  УП-Технологии
  ART.net

Ссылки

Архив

О нас

Контакты

Форумы

POPULAR.RU

ВЗЛОМ САЙТА - В ВАШИХ РУКАХ!

нашел Матвей Хорошилов miller@bratva.ru

Компьютерные сети в наше время используются повсеместно. Разумеется, люди хотят защитить свои сети от несанкционированного доступа к ним. Чаще всего у них это не получается, поскольку над взломом сетей трудятся высококлассные хакеры. Спрашивается: какого рожна они занимаются этим?

Причиной зачастую является желание проявить себя, увеличить свое мастерство в этой области, желание использовать в своих целях ресурсы сетей, а также утвердиться в своей компании хакеров ;). Кого же чаще всего взламывают хакеры?

1. Провайдеров - для получения бесплатного Инета, 2. Мелкие коммерческие компании - на них обычно и происходит обучение хакерскому мастерству, 3. Банки - для получения реальной прибыли. Но зачастую это невозможно сделать физически, и вероятность последующего за взломом взятия взломщика за заднее место весьма велика :), 4. И, к примеру, порносайты - для развлечения.

Взломщики часто используют программы-сканеры для определения машин, которые могут быть взломаны (о них мы подробно поговорим в следующем номере), а затем их ломают. Также хакерам может быть дано задание взлома конкретного объекта: в этом случае дело, как правило, связано с большими деньгами. Перед началом работы, хакер собирает всю информацию об объекте (и не только через сеть).

Обычно в компаниях ставят свои веб-сервера, почту и т.п. (В дальнейшем будем считать, что в фирме имеется настоящий, высокопрофессиональный сисадмин, а не какой-нибудь умник, считающий себя Богом. Таковых, между прочим, сейчас пруд пруди.:). Веб-сервер в большинстве случаев держится на отдельном компе, а остальные компы в сети отделены от мира firewall'ом, который ставится на шлюзе - это нужно для того, чтобы предотвратить взлом как снаружи, так и изнутри. В дальнейшем будем считать, что хакеру нужно получить доступ к сети. Веб-серверы обычно не взламываются, если, конечно, фильтрация пакетов является правильной. Почтовый сервер становится интереснее с точки зрения взлома, поскольку почта должна распространяться за предели сети и должна выходить каким-нибудь макаром :) в просторы Инета.

Кроме почты, есть еще несколько программ, которые могут интересовать взломщика: ftp (21), ssh (22), telnet (23), smtp (25), named (53), pop3 (110), imap (143), rsh (514), rlogin (513), lpd (515). Пакеты для SMTP, named и portmapper скорее всего отфильтрованы, дабы уменьшить риск взлома. В большинстве случаев фильтрация пакетов устроена неправильно, и риск взлома повышается в несколько раз. Это может возникнуть при сегментации, неправильной таблице роутинга пакетов по портам, установке нескольких логинов у одной машины и модемном пуле. В сети еще может находиться DNS-сервер, что также увеличивает риск взлома. Гораздо удобнее, с точки зрения безопасности, использовать численные адреса внутри компании. Другим "узким" местом является программа finger. С ее помощью довольно легко узнать тип операционной системы, например, просматривая пользователей root@host, bin@host или daemon@host. Указанные адреса в файлах hosts.equiv, .rhosts или .shosts имеют больший приоритет при общении с компом, и гораздно вероятнее, что взлом с этих адресов будет выполнен быстрее и проще. Чтобы обезопасить сеть, желательно быть уверенным, что доверительные адреса имеют такую же защиту. Есть другой вариант, правда, не такой практичный и рулезный со стороны хакеров, а скорее рулезный со стороны ламеров :). Это использование троянов. Троян - это программа чаще всего замаскированная под полезный софт или прикрепляющаяся к исполняемому файлу. Она может послать адреса и содержимое системных файлов сервера, доступ к которым необходим для входа в сеть, например passwd..

Самое главное для хакера - это не попасться самому :) Для этого, во-первых, нужно скрыть свой ip. Есть несколько простых способов: использование промежуточного адреса посредством telnet или rsh; использование Windows и Wingate; использование неправильно сконфигурированного прокси.

Хакер сначала будет пытаться узнать адреса машин в сети, имена пользователей, тип операционной системы. Часть этого можно узнать вполне законно, рассматривая файлы на веб-сервере, фтп-сервере, запуская программу finger или пытаясь войти на сервер. После этого он составит представление о сети, о связи компьютеров, о наличии пригодных для взлома портов и о многом другом. Потом будет искать наиболее доверительные тачки в сети. Скорее всего часть информации хранится отдельно, и доступ к ней осуществляется только через nfsd или mountd. После получение какой-нибудь инфы, хакер будет сканировать компы на предмет "дыр". Из под nix'ов это делаеться с помощью ADMhack, mscan, nmap под Linux (желателен быстрый канал). ADMhack и mscan делают примерно следующее: TCP-сканирование портов; получение информации о RPC сервисах, запущенных через portmapper; получение списка экспортированных каталогов через nfsd; получение информации о наличии samba или netbios; запуск finger для сбора информации о пользователях; проверка скриптов CGI; проверка на возможность взлома демонов Sendmail, IMAP, POP3, RPC status и RPC mountd. Обычно взлом происходит ночью, в выходные дни или в праздники, что дает больше времени и гарантию того, что сисадмин не бдит, хотя может находиться рядом с бутылкой в обнимку :))))). Если собранная информация позволяет пойти в обход через доверительные адреса, то возможность обычно юзается. Если же такого пути нет, то применяется почтовый сервер для более глубокого проникновения. Одновременно производятся попытки программно удаленно взломать Sendmail-, IMAP-, POP3- и RPC-сервисы, такие как statd, mountd и pcnfsd. Иногда для этого используются уже взломанные машины, так как зачастую необходимо иметь программу, скомпилированную на той же платформе.

Если хакер получил доступ, то он заметает следы - трёт логи, при этом иногда устанавливает пропатченные версии программ, изменяет даты и права доступа к файлам. Для загрузки новых программ может использоваться даже ftp. Возможно, что вместо аккуратного удаления информации о себе будут установлены новые версии программ ps и netstat, которые будут скрывать информацию о взломе. Некоторые хакеры помещают файл .rhosts в директории /usr/bin, чтобы дать возможность удаленного входа пользователя bin посредством rsh или csh.

Если целью взлома была добыча ценной инфы, то эта цель практически достигнута, поскольку взломав почтовый-сервер, хакер проделал половину пути, и вряд ли последующая защита окажется лучше уже взломанной. Тем не менее, работы еще вагон: собирать пароли, качать инфу с защищенных машин и тому подобное. Наиболее продуктивным способом сбора логинов и паролей является установка снифера. Снифак сидит в трее и прослушивает все данные, проходящие по сети, а не только адресованные данной тачке, и ценную инфу логит в указанное место. После установки снифера хакер возвращается к компу через некоторое время, чтобы скачать логи. Естественно он пытаеться скрыть нахожение снифака на компе, но обнаружить его можно, просматривая файловые системы на предмет изменения файлов. Для этого имеется программы Tripwire и cpm - они отслеживают изменения в сетевых интерфейсах.

Полезная вещь делать бэкапы и печатать регистрационные файлы на принтере. Но все же от всех атак взломщиков уберечься тяжело, но все-таки можно. Многое - в ваших руках. :)))